【专家问答】Isilon 数据湖求生手册--让数据触手可及

活动正式开启！欢迎对Isilon感兴趣的朋友们参与互动！

你好，

我有个关于Isilon CIFS的问题，经常看到SPN name missing 的告警，这个是否会影响平时用户访问Isilon的 CIFS 共享文件夹.

Dave

请教各位大师，我听说我客户这边会用Ision做VDI虚拟桌面，那么像这种虚拟机的应用Ision是一个好的选择么？

如果是安放在Ision上那么是装在OneFS上么？

你好，各位专家。

现在很多客户的部署Isilon存储的时候，都需要同时使用Linux、Windows和FTP等多种协议。可否分享一些在Isilon上使用多种协议的最佳实践和案例呢？此外，请列举一些在混合环境中客户经常遇到的问题。谢谢！

Dave 您好，

这条报错在我们的日常工作中也有很多的客户提出，是一个相当典型问题。

SPN全称service principal name, 是微软AD验证中Kerberos验证方式不可或缺的一部分。Isilon加入AD以后，会在AD中创建一个计算机账户，SPN就会被注册入相应的计算机账户中。默认的情况下，在加入AD的过程中，isilon会将自己的集群名和所有的smartconnect 名字注册到AD中，而加入AD以后的smartconnect名字则需要手动到AD中添加，这条报错大部分发生的场景是:客户先加入AD，然后再配置smartconnect，或者加入AD后又新添加新的smartconnect配置。

SPN存在与否，决定了windows客户端在连接isilon的时候是否会使用Kerberos验证。您可以根据环境中的相应需求（诸如是否安全策略要求,是否有相应的需求等），选择将SPN添加到isilon的计算机账户上，或者将相应的报错取消掉。在没有SPN的情况下，客户端访问共享目录（使用DNS名）会使用NTLM的验证方式。

如果客户端使用kerberos的验证方式，相比NTLM，Isilon和域控之间的流量会相应有所减少。如果您选择添加相应的SPN，尤其是在从旧NAS系统上迁移过来的时候，需要注意是否会有重名的SPN，即同样的SPN被注册在两个不同的AD对象上。另外，7.0以后isilon可以加入多个AD域，同样需要留意是不是SPN注册到了正确AD域中。以上两种情况均有可能对用户的验证造成影响。

您也可以参考以下KB:

https://emc--c.na5.visual.force.com/apex/KB_HowTo?id=kA0700000004Tm6

谢谢。

Jeffey 您好，

的确，在我们的日常工作中，客户使用多协议访问isilon的情况也十分常见。

Isilon提供一个UID/GID和SID的配对的机制和统一的权限模型，使得对于目录的权限的控制可以互相转换，同时兼顾了Nix类系统的mode bits权限和windows的权限系统。

对于外部验证源，目前比较常见的方案有以下两种:

1. Isilon同时加入AD和LDAP域，利用isilon提供的用户配对的功能来实现多协议的权限控制。
2. 开启AD的RFC2307功能，为相应的AD账户提供UID/GID。

各位也可以参考以下文档，”OneFS multiprotocol security untangled”,该文档比较详细的介绍了isilon对于多协议访问的权限控制。

https://support.emc.com/docu53353_White-Paper:-OneFS-Multiprotocol-Security-Untangled.pdf?language=en_US

我个人在工作中碰到的比较多的问题主要有以下几种：

1.在需要同时加入AD和LDAP域的过程中，选择先加入AD，后加入LDAP，导致配对出现问题，在这种情况下，需要清理配对数据，将之前随机的配对清理掉，保持正确的配对。关于如果将isilon与AD和LDAP集成的最佳实践，各位可以参考以下文档：

https://support.emc.com/docu51637_How-to-connect-Isilon-OneFS-7.x-to-LDAP-and-Active-Directory.pdf?language=en_US

2.不同的验证源使用的信息有所冲突，导致相应的文件和目录的访问 权限与预想的不同，在这种情况下，需要找到有冲突的用户，修正相应冲突的信息，同样需要对冲突的用户配对进行清理，以便isilon重新生成新的配对。

3.在多协议访问同一目录的时候，由于不同协议上运行的作业的特性，可能导致文件被锁，性能不如预期，或其他问题。这类问题相对比较复杂，需要进一步分析相应的网络包和日志来定位问题。

您好，

关于VDI 解决方案应包含两大部分，一部分是虚拟镜像文件(VMDK)文件，另一部分是关于用户使用虚拟机而衍生的的非结构化数据，Isilon(NAS)能够很好的胜任用户产生的非结构化数据的存取。而第一部分数据则交由SAN 存储处理。

详见以下白皮书：

http://www.emc.com/collateral/solution-overview/h13357-so-vdi-vce-xtremio-isilon.pdf

在Isilon中不存在常见的卷组及逻辑卷的概念，所有的文件，无论是从哪个节点存取，访问的都是Isilon统一的文件路径即 /ifs

谢谢！

你好，Shawn。

非常感谢你专业的回复，我相信这些信息会对Isilon用户使用多种协议非常有帮助！此外，如果用户在使用多种协议时遇到问题，我们EMC技术支持中心有建议的排错步骤吗？还是直接让客户收日志开CASE呢？

Isilon SmartConnect 高可用性的左膀右臂(负载均衡和故障切换)

关于负载均衡的分享：

SmartConnect 是Isilon 保证负载均衡的重要模块，从而保证Isilon的性能和可用性。

具体实现原理如下：

在客户端连接到 Isilon 群集过程中执行的步骤包括：

1. 客户端尝试使用 SmartConnect 名称接到 Isilon 群集；该名称对客户端显示为群集的主机名。执行此操作时，客户端将请求从环境的 DNS 服务器中查找该主机名。
2. 环境的 DNS 服务器确定 SmartConnect 名称应根据 DNS 中的委派条目解析为 SmartConnect 服务 IP (SIP) 。DNS 服务器使用此 SIP 查询 SmartConnect。
3. SmartConnect 将充当此 DNS 查找的授权者，并将根据为该分区选择的负载平衡策略提供节点的 IP 地址。
4. 环境的 DNS 服务器使用 SmartConnect 提供的 IP 地址回应客户端的查找。
5. 然后，客户端可以通过根据从 DNS 查找返回的 IP 地址装载/映射到相应的节点，从而启动连接。

负载均衡的实现 (Advanced 版本是需要SmartConnect License):

以下是Isilon上四种可用的连接策略，以实现负载均衡：

• 循环调度 – 循环选取下一个可用节点,将该节点的IP地址分配给Client(该选项为默认配置)。适合于大量Client 同时访问Isilon, 并且不应出现大量频繁断开连接或重连的业务场景。
• 连接计数 – SmartConnect根据每个节点的已存在的TCP连接数来决定分配Client连接到哪一个节点，从而优化集群的利用率。
• 网络吞吐量 – 通过查看每个节点的流量的平均值，来决定Client连接到哪一个节点。
• CPU 利用率 – 通过检测每个节点当前的CPU使用率，分配Client连接到哪一个节点的IP。

常见问题：

用户使用Isilon SmartConnect 功能时，把SIP当作负载均衡服务器(Isilon不存在物理上的负载均衡服务器)的IP地址配置到Server 和 Client上，而这个IP在正常情况下，总是在节点ID最低的那个节点上，也就是节点1上，所以所有的Server和Client 都连接到节点1上。

SIP 是Isilon 内部的DNS Service Module的使用的内部IP地址，这个IP地址应配置到用户环境中的DNS Server上，做委派子域，这样才能够正确使用Isilon 达到负载均衡的目的。

关于如何在DNS server 上配置SIP请参见以下技术文档:

Isilon OneFS: How to configure Windows DNS for a SmartConnect zone

https://support.emc.com/kb/183530

Isilon OneFS: How to create a UNIX-based BIND DNS setup for use with SmartConnect

https://support.emc.com/kb/89758

SMARTCONNECT 故障排除文档分享：

http://www.emc.com/collateral/TechnicalDocument/docu63149.pdf

总结如下：

1. 确认isi_dnsiq_d 进程是否运行在所有节点上。

2. 确认是否SIP在节点1的ifconfig上有输出。

3. 确认使用nslookup命令对于同一个ZoneName是否能够返回不同节点的IP地址。

Hi Shawn，

文档步骤很多很详细，非常感谢！

Jeffey 您好，

在support.emc.com中，我们提供了相应的客户排错指南，客户可以通过对应的排错指南来尝试解决问题（如AD，文件系统等）。

https://support.emc.com/search/?text=customer%20troubleshooting%20guide&product_id=15204&searchLang=en_US

如果客户在使用排错指南后无法解决问题，可以拨打我们的热线电话开服务单，让我们的工程师来做进一步的排错。

谢谢。

Shawn

这边分享一些NFS client端设置的最佳实践，还是非常实用的。

1. 使用 NFS over TCP ， 而不是NFS over UDP

因为如果使用用户数据协议（UDP)， 如果客户端和服务器端的网络速度不匹配，就很有可能发生丢包和重传的现象，这样当速度快的一段发送数据到速度慢的一段的时候，性能会变得非常差。

为了获得更好的性能和更高的可靠性，我们会推荐使用传输控制协议（TCP)，通过TCP来处理超时和重传。

2. 使用NFSv3 或者NFSv4

最好不要使用NFSv2，因为NFSv2使用的是UDP并且不支持大于2GB的文件传输

NFSv3是NFS的标准版本，而且它是NFS协议中最稳定、最成熟的版本。

NFSv4相对来说有些新，但是正在逐步被用户所接受，也比较稳定。然而，它不支持故障转移功能（而NFSv3支持）， 因为NFSv4是有状态的协议而NFSv3是无状态的协议

3. 在集群端将NFS EXPORT 设置为同步（sync）

这个是默认设置。如果将NFS EXPORT设置成异步（async）会导致集群在收到写请求后立即响应。那么这就使得集群无法去通知客户端写失败了。另外，nfsv3和nfsv4在协议层面都是支持异步写的，所以异步的NFS EXPORT是没有必要并且是不安全的。

4. 在客户端使用异步挂载（async mount）

如果在挂载时使用了同步这个参数，那么所有的写就会是同步写，通常来说，这样就会使得写的性能非常差。 同步这个挂载参数应该只被运用于一些特例，例如某些应用需要同步写但是自己本身却没有这种机制，只能依赖于NFS的同步写参数。

5. 尽可能大地设置读和写的大小

总的来说， 我们应该尽可能大的设置读和写的大小，在OneFS 7.0之后，isilon这边的限制是：

• 读大小（rsize）：1MB
• 写大小（wsize）：1MB

客户端的默认值有可能会将这两个值设得比较低，所以我们需要手动去加上这两个参数，至于最合适的参数，需要根据自己网络的情况来调试。

6. 使用“硬” （hard）挂载

在大部分客户机器上，推荐使用硬挂载和intr这两个挂载参数，这样的话如果有输入/输出的错误，NFS客户端就会一直重试，但是还是有信号可以中断这种无限重试的。硬（hard）挂载就意味着会反复重试当出现输入输出错误时；而intr这个参数允许信号去中断这个反复重试的行为。当一个NFS 客户端无法获取挂载资源时，如果这个客户端使用的是硬挂载的方式，那么它就会一直尝试获取这个资源直到获得这个资源为止。使用软（soft）挂载的话会创建出主超时（major timeout） 并且会导致输入/输出错误。

7. 多个客户端访问相同文件时的推荐配置

如果我们的环境中有多个客户机访问（写入）相同文件的话，推荐使用锁机制（NLM)并且禁用客户端的属性缓存。

• 如果要禁用属性缓存，请使用这个挂载参数 actimeo=0 ， 避免使用noac这个挂载参数。因为noac会禁用所有的属性缓存，这会使得GETATTR请求的时延大大增加。另外， 这也会开启同步模式，使得所有的写变成同步写，这将大大降低写的性能。

• 在挂载时使用lock这个选项。在需要时，这个选项可以保证客户端能够获取文件的独家访问权限。因为OneFS使用的是建议锁（advisory lock），所以所有的客户端上必须启用锁机制来保证锁信息的一致性。

如果多个客户端访问的是不同的文件，那么我们可以启用属性缓存、使用本地锁或者不使用任何锁机制。

8. 启用 READDIRPLUS

如果客户端支持rdirplus这个功能，请在挂载时加入这个参数从而启用READDIRPLUS这类请求。READDIRPLUS可以提升性能，尤其是在Mac OS X的客户机上

更具体的内容请参考这篇KB：

90041 : OneFS: Best practices for NFS client settings            
https://support.emc.com/kb/90041

Nicole 谢谢分享

可以再详细的解释下  NFSv3故障转移功能在isilon上的具体配置和应用场景吗？

谢谢！

请问各位专家，Isilon节点升级过后有节点会处于单用户状态是什么问题呀？是升级方法不对吗？有什么关于升级步骤的文档吗？

谢谢！